Вирус на 300 баксов
Александр, а разве UPnP не открывает порты
Вы меня-то не спрашивайте, я такой же вопрошающий, как и вы, просто мои оппоненты тут не могут аргументировать свою точку зрения.
Насколько я понимаю, да, UPnP пробрасывает порты для разных всяких торрент-клиентов, при запросе от клиента, собственно. Но, он явно это делает не на стандартные, используемые операционной системой порты.
В данной статье я хочу кратко рассказать, как работают два механизма для проброса портов, а именно NAT Port Mapping Protocol и Internet Gateway Device (IGD) Protocol, входящий в набор протоколов UPnP. К своему удивлению я обнаружил, что в рунете информация по данному вопросу более чем скудна, что и сподвигло меня на написание данной заметки.
Для начала приведу краткий FAQ:
Q: Для чего нужны данные протоколы?
A: Для формирования на маршрутизаторе правила проброса определенного TCP/UDP порта (Port Forwarding) не вручную, а «автоматически», т.е. по запросу от хоста во внутренней сети.Q: Как это реализуется?
A: Устройство за NAT отправляет маршрутизатору запрос с указанием внутреннего и внешнего номеров портов и типа протокола (TCP/UDP). Если указанный внешний порт свободен, маршрутизатор формирует у себя правило трансляции и рапортует запросившему компьютеру об успешном выполнении запроса.Q: Проводится ли на маршрутизаторе аутентификация/авторизация запросов на открытие порта?
A: Нет, не проводится.Теперь же рассмотрим работу данных протоколов более подробно (под катом).
Отсюда: habrahabr.ru/post/279969/
При просмотре видео “онлайн”, как тот “роутер” Муратова, вы смотрите его через протоколы RTMP, RTSP, HLS, HDS, HTTP MPEG-TS или DASH, в редких случаях FLV.
Так вот с помощью транскодера/енкодера в этот “стрим” можно вставить исполняемый код и кликнув “Play” вы сами его и запускаете. А код может быть любым.
А с этим никто и не спорил. Вопрос был про атаку вируса через закрытый порт. Что, на данный момент, я представить никак не могу, кроме как через какую-то уязвимость прошивки роутера или ПО фаервола. В случае же вируса WannaCry уязвимость была в протоколе SMB.
А с этим никто и не спорил
Это ответ на
Т.е. не зная даже маски подсети за роутером, снаружи можно достучаться до компа за ним, не сломав предварительно его самого?
И ни коем образом не связан с Wa n aCry и эксплойтом.
Кстати команда для отключения SMBv1 на Windows 8 и ниже:
reg add “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” /v “SMB1” /t reg_dword /d 0 /f
От администратора конечно же
Вопрос был про атаку вируса через закрытый порт. Что, на данный момент, я представить никак не могу, кроме как через какую-то уязвимость прошивки роутера или ПО фаервола. В случае же вируса WannaCry уязвимость была в протоколе SMB.
Ваша “какая-то уязвимость” и есть тот самый эксплойт EternalBlue.
Кстати команда для отключения SMBv1 на Windows 8 и ниже:
спасип! получилось! )))
У меня тоже!
Уязвимость также можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора:
У меня ошибку выдает, имя компонента “SMB1Protocol” неизвестно.
Ошибка 0х800f080c
Че может быть?
Порты закрылись норм.
Сорри, увидел уже, что это для 8-ки…
Кстати команда для отключения SMBv1 на Windows 8 и ниже:
reg add “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” /v “SMB1” /t reg_dword /d 0 /f
Для 7-ки все получилось. СПс.
При просмотре видео “онлайн”, как тот “роутер” Муратова, вы смотрите его через протоколы RTMP, RTSP, HLS, HDS, HTTP MPEG-TS или DASH, в редких случаях FLV.
Так вот с помощью транскодера/енкодера в этот “стрим” можно вставить исполняемый код и кликнув “Play” вы сами его и запускаете. А код может быть любым.
Огромное, нечеловеческое спасибо ! Смеялись в голос всем отделом.
Огромное, нечеловеческое спасибо ! Смеялись в голос всем отделом.
Я тоже смеялся когда узнал.
А с этим никто и не спорил. Вопрос был про атаку вируса через закрытый порт. Что, на данный момент, я представить никак не могу, кроме как через какую-то уязвимость прошивки роутера или ПО фаервола. В случае же вируса WannaCry уязвимость была в протоколе SMB.
Парни, не горячитесь. Вы про разные порты говорите, Вы про порт на роутере, а Павел на хосте
thehackernews.com/…/wannacry-ransomware-decryption…
расшифровщик вроде
Если я просто качаю что-то из интернета по FTP-протоколу, то 21-й порт у меня закрыт
Если бы все было так просто. На примере FTP протокола.
21 порт и все остальные у вас на роутере возможно и был закрыт до момента запуска FTP клиента, но вот что удивительно сразу после запуска и соединения с удаленным хостом это все может “слегка изменится”. Например при условии успешного использования active моды для FTP соединения. Заметьте никакого FTP сервера на вашей машине только клиент, но если ваше соединение успешно установлено не в passive в active моде то этот факт специалисту говорит о том что на пользовательской машине сам FTP клиент открыл порт на входящее соединение. УУПС #1 “совершенно незаметно для пользователя”.
Вы спросите а как же на клиентскую машину стоящую за роутером входящее соединение извне проберется через роутер где ничего никому не открывали. Откуда роутер узнает что входящее из интернета соединение надо оправлять именно на машину где запущен FTP клиент динамически организовавший прием. Кто и когда этому роутеру разрешил и объяснил.
Один из вариантов магического заклинание - называется Port Triggering.
Протокол и сервис роутера используя который о клиентская машина может “уговорить и объяснить” роутеру что начиная с сего момента, в нашем случае начиная с и до тех пор пока FTP клиент держит соединение с 21 портом сервера в интернете (да да 21 порт на сервере на клиентской стороне ИстесТвенно совершенно другой порт. видите я это знаю) то все входящие соединения из интернета по такому то диапазону портов надо более не отвергать а перенаправлять на ту самую машины где запущен FTP клиент (Клиент Карл КЛИЕНТ). - УУПС #2 ибо опять таки происходит это “совершенно незаметно для рядового пользователя”.
Нет конечно вы скажет ну какой же идиот использует FTP active, зачем активизировали и настроили Port Triggering и вообще…
Ответ прост - да патамучто ничего об этих тонкостях проброса открытия и закрытия портов рядовой пользователь не знает. Он сделал что бы работал “безопаcный FTP”
Пользователь просто пользуется FTP, mainecraft, File Sharing и еще 100500 удобных сервисов и программ настроив их окружение так чтобы все работало. А то что в результате этого его роутер и домашняя машина раздвинули “пределы доступного” шире чем проститутка в борделе - он не сном ни духом. В общем суть то всего поста в том что бы слегка напомнить что в современной IT достаточно много широко используемых “сервисных” и “делающих дружелюбными” возможностей как у роутеров так и клиентских машин чтобы даже специалист без обследования пациента мог даже сам себе дать гарантию и быть уверенным “я в домике. домик на запоре”.
Специально на примере выбранного Вами протокола (ну так фишка легла) иллюстрация что казалось бы в примитивных ситуациях не все так однозначно как вы пишите “я просто качаю … порт у меня закрыт”. Именно 21 может и закрыт а вот на счет что пока вы качаете один из портов не “при открылся так что ветром с горшка сдувает” по гамбургскому счету уже не факт. Ну а раз не факт то и не факт что через приоткрытую форточку чего лишнего не “надуло”.
Если все закрыто и настроено правильно естественно ничего лишнего магически негде пролезет. Но вот насчет того что все всегда везде всеми производителями по умолчанию настроено правильно и надежно - это даааалеко не факт. Особенно в счете того что все стремятся сделать “удобно” и “авто конфигурируемо”. Что в части роутеров что в части фаерволов что … Средне статистический пользователь соглашаясь на что то ему понятно и ясно, скажем можно разрешить сетевую игру в minecraft да конечно же можно, за одно открывает столько “возможностей для пытливого ума” что остается только изумляться как все еще работает.
В общем не идеализируйте - у меня все зарыто - в 99% случаев настроек по умолчанию не вполне верный постулат. Мой пример когда казалось бы все на вход снаружи закрыто - но не всегда не для всего.
Как теоретически вирусу можно воспользоваться такой временно приоткрывающейся дырдочкой - давайте я подробно рассказывать не стану. Вариант и слов man on the middle на сети поставщика думаю достаточно - чтобы “совсем незаметно для рядового пользователя” получить “подарок” если уж найдется аналогичный хак популярного клиента на уровне протокола FTP.
WBR CrazyElk
Один из вариантов магического заклинание - называется Port Triggering.
WBR CrazyElk
А куда делся NAT на роутере? Или мимо него шагаем? 😁
А куда делся NAT на роутере? Или мимо него шагаем?
Уфф… Одно другого не исключает. Мимо NAT, конечно. Тем более это возвратный запрос.
Некоторые сервисы (например, интернет-игры, IP-телефония, видеоконференции и другие приложения, требующие одновременного установления множества сессий) несовместимы с технологией NAT. В этом случае нужно использовать динамическое перенаправление портов (Port Triggering).
Пример:
Через роутер с IP-адреса компьютера локальной сети (LAN) отправляется запрос в Интернет (WAN) с конкретным номером порта, для которого указано динамическое правило (Trigger Port). Когда роутеру на WAN-порт приходит ответ на соответствующий ему номер входящего порта (Incoming Port), роутер перенаправляет трафик на IP-адрес компьютера локальной сети, который отправлял запрос.
На самом деле, NAT не отменяет всего выше написанного. NAT - вообще никак не предназначен для защиты. Это - система сохранения IPv4 адресов.
Насколько я помню, роутер строит NAT таблицу с сопоставлением адресов и портов. Что мешает, входящему извне пакету, иметь специальную запись при заходе на любой порт роутера, осуществлять заброс на определенный порт клиента. Это во-первых.
Во-вторых, у меня есть глубокое подозрение, что во всех стандартных имплементациях NAT на потребительских роутерах есть дополнительные скрытые записи для автоматического проброса пакетов на определенные порты клиентов. При этом они, естественно не отображаются, т.к. предназначены для работы сервисных протоколов или работы спецслужб и зарыты глубоко в прошивке роутера.
В-третьих, уже упомянутый man in the middle на любом устройстве на пути пакета между двумя хостами позволяет вписать любую заразу практически в любой пакет. И такие дверки оставляются производителями сетевого оборудования опять-таки для спецслужб.
Сноуден не зря говорил про слив из АНБ.
Смеялись в голос всем отделом.
Вот и досмеялись: ria.ru/society/20170525/1495054735.html
Вот и досмеялись: ria.ru/society/20170525/1495054735.html
О да, это страшно ! Дыра потенциально существует с 2007 г., эксплоитов нет, читайте журнализдов дальше.
А что по поводу шифратора ~xdata~ ?
С 19-го числа пошли заражения.
О да, это страшно ! Дыра потенциально существует с 2007 г., эксплоитов нет, читайте журнализдов дальше.
У вас там в отделе все такие? Вы хоть ссылки открывали? При чём тут 2007 год! Речь идёт о уязвимости VLC, Kodi, PopcornTime и Stremio плееров.
Вы хоть ссылки открывали? При чём тут 2007 год! Речь идёт о уязвимости VLC, Kodi, PopcornTime и Stremio плееров.
Я чуть дальше этой мурзилки пошел. Классический потенциальный buffer overflow, известен с 2007 г. (по крайнейе мере в VLC начиная с версии 0.8.6), если интересно - погуглите. А то, что ребята из чекпоинта показали - полный бред, простите. От такой потенциальной дыры до remote code execution - как до Магадана вприсядку.
buffer overflow, известен с 2007
Опять мимо; проблема buffer overflow появилась гораздо раньше, как и stack overflow. ☕
А то, что ребята из чекпоинта показали - полный бред, простите. От такой потенциальной дыры до remote code execution - как до Магадана вприсядку.
А Вы часом не в Касперском работаете? Очень уж ваши ответы с их политикой совпадают…
Классический потенциальный buffer overflow
Может пропустил; не нашел в статье от чекпоинта что указанные плееры используют уязвимость buffer overflow.